直播回顾 | 云原生下的业务数字化与安全

2022年6月10日，由派拉软件联同华为云、恒岳开展云企业云安全直播专场，派拉软件研发总监茆正华作《云原生下的业务数字化与安全》主题分享，以下为直播回顾。

企业业务上云，不仅仅是基础设施和平台的升级，应用也需要摒弃传统的设计方法，从架构设计、开发方式到部署维护整个软件生命周期都基于云的特点设计，从而构建原生为云而设计的应用，这样才能在云上以最佳姿势运行，充分利用和发挥云平台的弹性以及分布式优势。云原生就是这样一套全新的理念，背后涵盖了一系列全新的技术，例如容器、微服务、服务网格等。

目前，不仅互联网行业在使用云原生，制造、地产、科研机构、政府等各行各业也都在拥抱云原生技术。

云原生=微服务+DevOps+持续交付+容器化，是一种应用“为云而生”的理念，即整个应用需从架构设计、开发设计、部署维护等各阶段、各方面都基于“云”的特点重新设计，从而充分利用和发挥云平台“弹性+分布式”的优势，获得最佳的运行效果，真正让应用“长”在云上。

采用轻量级的容器。云原生应用程序是打包为轻量级容器的独立自治服务的集合，与虚拟机相比容器可以实现更加快速的扩展，优化基础架构资源的利用率；

设计为松散耦合的微服务。可作为独立的服务而存在，并利用弹性基础架构和应用架构进行高效扩展；

通过DevOps流程进行管理。云原生应用的每项服务都有一个独立的生命周期，通过敏捷的DevOps流程进行管理。多个持续集成/持续部署流水线可以协同工作，以部署和管理云原生应用程序。

云原生安全包含两层意思：一是云原生环境的安全，二是利用云原生技术的安全。

云原生环境的安全是指采用相应的安全措施对云原生环境进行保护，这种安全措施有可能是使用传统的安全防护产品，也有可能是使用云原生技术的安全产品，也有可能是云原生环境自身的安全特性。

利用云原生技术的安全是指采用云原生的弹性扩展、按需分配等特点进行安全产品的设计和部署，这种安全产品能够部署在云原生环境中，当然也可以为传统IT架构提供安全防护。

未来，云原生环境必将与采用了云原生技术的安全相互融合，成为统一的整体；也就是说在云计算环境下的安全一般也是采用了云原生技术的安全，采用了云原生技术的安全也会为云计算环境安全添砖加瓦，从而实现持续交付、持续安全，达到业务与安全齐头并进。

零信任代表了新一代的网络安全防护理念，它的关键在于打破默认的“信任”，其核心理念是“永不信任、持续认证”。默认不信任企业网络内外的任何人、设备和系统，基于身份认证和授权重新构建访问控制的信任基础，从而确保身份可信、设备可信、应用可信。

通过构建以“零信任”为核心的新一代安全架构，从终端可信、身份可信、网络可信到数据安全，各个环节建立多层防线，打造面向用户的安全访问体系，通过持续威胁监测、事件及时告警、快速响应处置，将整个数据接入访问的纵深安全防护体系有效的运营起来，从而发挥出整体安全保障体系的最大优势。

近年来，云原生作为在云计算领域炙手可热的技术之一，以其独特的技术特点，可以很好地契合云计算的发展的本质，也逐渐成为云计算发展的技术内核。

云原生在最初设计开发的时候，便开始思考如何在云环境下使用和成长，从而可以更好地把业务生于“云”或迁移到云平台上，然而，随着业务上云、生态协作、多云混合等场景的广泛应用，云环境中的访问安全、远程办公人员身份的真实性等一系列安全问题不断出现，传统基于网络或设备边界的网络安全防御技术逐渐难以应对新型威胁。

因此，基于身份管理的云服务IDaaS应运而生，IDaaS全称是 Identity as a Service ，即云化的IAM，基于云端的IAM能够同时管理SaaS应用和内部应用。作为云原生架构的IDaaS产品，可以兼具云的扩展性优势和跨环境的身份识别及权限管理能力，满足私有云、混合云以及公有云等多种部署类型，与传统的IAM相比，IDaaS为身份认证带来了SaaS的成本优势，且适配性更强、安全性更高，可处理更大规模、更加复杂的数据。